应用与安全两张皮

信息安全之初，集中在解决有无的问题，基本都是“老三样”

防火墙、***检测加防病毒

这些都有很是成熟的货架产品，拿来就能够直接用上，所以重研制，轻建设。

 

当时，工程建设的实施很是容易，要调研掌握的应用相关信息并很少，

了解一下企业IT系统对外都存在哪些业务关系，具体须要开放哪些协议和端口，

工做难度不大，自己也并不复杂。

 

所以，那时候的工做主要集中在研制安全产品自己，设计硬件平台，提供足够

的性能和可靠性，实现具体的访问控制、***检测等安全功能。

 

在发展的过程上，与IT系统的发展很是相似。在计算机和网络刚刚普及时，

建设好网络，员工有了计算机工做，彷佛企业信息化就实现了。

 

后来，才逐步发现那仅仅是个基础设施，缺乏管用的应用和数据，就是一个空架子，

对企业的推进力至关有限。

 

逐步认识到IT系统的内涵，但一个企业在刚上IT系统时，对应用却又提不出具体的需求，

这个时候，货架产品就大行其道，基本上是提供给什么就用什么，最后的结果极可能

就是与实际状况相距太远，没法真正使用起来。

 

交了学费，走过弯路后，对信息集成的认识加深，特别是当企业发展到一个成熟

的阶段，特别是IT系统对企业业务的做用愈来愈重要，愈来愈离不开IT系统的时候，

对IT系统的认识和理解会很是具体。

 

这个时候，企业开始会根据本身的须要来选择IT系统。这样一来，IT系统提供者就

须要深刻到企业，去了解真实的需求，从而提供最适合的IT系统，不然是本身是没有出路的。

 

信息安全也是同样，光堆砌一堆的安全设备，并不能真正解决安全问题。

如今已通过了安全厂商为企业单方面提供解决方案，而不须要深刻企业，去了解企业的

需求的阶段。

 

咱们在路上，虽然很难，特别是应用通过长时间发展，就规模已经很是庞大，复杂性超乎想象；

而可以清楚说明应用具体状况的人几乎没有的状况下，要了解应用谈何容易，与应用融合，让

安全深刻到应用的流程中，提出这样的方案就更加困难。

 

但咱们认识，这件事情很是有意义，没有现成可借鉴的东西正是咱们的机会。

 

这件事必需要作，若是仍是停留在买安全产品的阶段，而不是为企业设计一个适应它的

核心流程、保护它的核心资产的安全方案，信息安全的将来是没有出路的。

 

深刻企业，在第一线调研，让咱们成为企业承认的专家，改变它们常挂在嘴边的，“大家不了解

咱们的领域”。

 

咱们如今已经迈出了第一步，咱们经过调研，掌握了初步的应用状况，从抽象的业务流程、访问关系

到具体的报文格式、网络协议等等。咱们不断在积累，不断在迭代进步。

 

在具体操做中，咱们结合了自上而下和自下而上两种相互补充、相互印证的方法。

 

开展调研，与设计和研制应用的人打交道，了解应用的状况，造成对应用的理论上的认识；

另一方面，研制验证平台，能够在实际的应用环境中运行，经过分析网络流量和业务操做日志，造成

对应用的实践上的认识。

 

两者的结合，既解决了理论上的认识存在人为的误差的问题，又解决了实践上的认识不全面、不完整的问题，

咱们提出的方案让企业耳目一新，与过去千篇一概的方案相比，方案更实了，没有虚无缥缈的架构、理论，只有

与应用紧密结合的安全机制，安全设备也软件化甚至构件化，与应用融合一体。

 

虽然少了安全设备，表面上咱们的收入少了，可是安全推向深刻，面广了，口碑有了，对于信息安全这个朝阳、新兴

的产业，挖掘市场比买安全设备有前途，咱们坚信。